关键漏洞信息 漏洞概述 CVE ID: CVE-2025-50819 严重性: 高 (7.1/10) 影响范围: arxiv-daily 项目的所有版本在修补之前都受到影响,目前没有修补版本。 漏洞描述 类型: 目录遍历漏洞 (CWE-22) 影响: 应用程序未能对 文件中的用户控制输入进行清理,允许恶意构造的主题或子主题值创建文件或目录,超出预期的 目录。 漏洞范围 此漏洞存在于原始仓库 中,并非特定于此分支。报告来自一个分支,但上游源代码也受影响。 原始 arxiv-daily 仓库的任何用户都会受到影响,不限于分支中引入的任何更改。 利用影响 写任意文件到 外部。 覆盖敏感或关键文件(如 , 文件)。 通过填充磁盘空间或破坏配置导致拒绝服务。 概念验证 示例易受攻击的 : 运行工具: 结果: 在父文件夹中创建名为 的目录,位于 外部。 建议修补方案 使用输入验证(例如,pathvalidate)来清理用户控制的键: 这可以防止路径遍历模式,如 。 权宜之计 在修补之前,用户应: 手动检查 是否存在不安全字符,如 。 在容器或受限环境中运行工具以限制损害。 参考资料 arxiv-daily 原始仓库 CWE-22: 路径遍历